Rapport de recherche de Brave : zkLogin présente trois principales vulnérabilités, dues à des ambiguïtés sémantiques, à l'absence de garanties de liaison et au transfert de confiance dans l'architecture.

Foresight News rapporte que l'équipe de recherche de Brave a publié un rapport soulignant l'existence de trois principales vulnérabilités dans le système d'autorisation des transactions blockchain zkLogin. Selon le rapport, ces vulnérabilités ne relèvent pas de problèmes d'implémentation, mais constituent des défauts inhérents à l'architecture actuelle et au système global de zkLogin.

Les trois vulnérabilités identifiées dans le rapport incluent : la dépendance implicite de zkLogin à des documents JSON émis par des tiers externes, qui peuvent présenter des ambiguïtés sémantiques ; la conversion par le système de documents d'authentification de détenteurs à court terme en justificatifs d'autorisation permanents ; et le fait que zkLogin introduit des risques de confidentialité et de gouvernance en recentralisant la confiance. Ces vulnérabilités ne concernent pas le piratage de la cryptographie ou des preuves à connaissance nulle, mais proviennent d'ambiguïtés sémantiques, de l'absence de garanties de liaison et du transfert de confiance inhérent à l'architecture.